IoT検索エンジン「Karma」、セキュリティリスクを可視化する新機能を追加
〜脆弱性情報やバージョン情報などからリスク評価し、セキュリティリスクのある機器を一目で把握可能に〜
株式会社ゼロゼロワン(本社:東京都渋谷区、代表取締役 CEO:萩原雄一、以下「ゼロゼロワン」)は、IoT機器検索エンジン「Karma」の新機能としてIoT機器のセキュリティリスクを可視化する機能を2020年10月19日より提供開始します。
本機能追加では、Karmaが検索したインターネット接続されているIoT機器について、既存の脆弱性情報やファームウェアバージョンなどからセキュリティリスクを評価し、「高リスク」、「注意」の分類をすることで、リスクのある機器を一目で把握することが可能になります。
Karma:https://www.00one.jp/karma
機能追加の背景
Karmaは、既存のIoT検索エンジンでは困難だった国内のIoT機器の機種特定について、独自開発した判別方式(シグネチャ)により国内に流通するIoT機器のモデル名やファームウェアバージョンなど詳細な機器情報の判別を可能にしました。今年6月から「Karma」を提供開始し、導入・体験いただいたお客様からの『セキュリティリスクを視覚的に把握したい』というニーズを受け、この度セキュリティリスクを可視化する機能を追加しました。
「セキュリティリスクレベル」とリスクレベル判定の根拠となる「タグ」
今回の機能追加により、直ぐに使用を中止した方が良い機器や対処が必要な機器を「高リスク」、設定や運用方法によってはセキュリティリスクが生じ得る機器を「注意」とする2種類のリスクレベルを用意しました。また、セキュリティリスクレベルの判定の根拠となる情報を、以下のタグ情報として可視化しました。
・セキュリティリスクレベルとタグ一覧
(高リスク)
タグの名称 |
内容 |
end_of_life (サポート終了) |
サポートが終了している機器です。脆弱性が新しく発見されたとしても修正される事は無いため直ちに対処が必要です。 |
initial_state (初期状態) |
初期設定がされていない機器です。アクセスされた時点で任意の設定に変更させられる可能性が高いため直ちに対処が必要です。 |
leaked_credential (認証情報が漏洩) |
管理者権限で利用できるIDおよびパスワードが流出している機器です。アクセスされた時点で設定情報の搾取・改ざんが可能なため直ちに対処が必要です。 |
vuln_known (既知の脆弱性) |
バナー情報から脆弱なプロトコルやチップセットを使用していると判断された機器です。利用におけるセキュリティーの緩和策がないため直ちに対処が必要です。 |
vuln_001 (ゼロデイ) |
ゼロゼロワンが解析した結果、リモートからのShellの乗っ取りや管理画面への侵入が可能など、重大な重要性があると判明した機器です。脆弱性情報を得さえすれば容易に攻撃できるため、直ちに対処が必要です。 |
(注意)
タグの名称 |
内容 |
no_updates (1年以上更新なし) |
ファームウェアが最後に更新されてから1年以上経過している機器です。機器メーカーが明言していないものの、サポート期間が終了している可能性があり、注意が必要になります。 |
not_latest (最新状態にしていない) |
使用しているファームウェアが最新ではない機器です。更新されたファームウェアにおいて脆弱性が修正されている場合、注意が必要になります。 |
known_credential (認証情報が流出) |
デフォルトIDおよびパスワードが既知である機器です。設定を変更していない場合、容易に不正にアクセスされるため注意が必要になります。 |
no_auth (認証機構なし) |
使用にあたり認証を必要としない機器です。機密性が求められる業務に使用する場合には注意が必要になります。 |
known_id (IDが既出) |
デフォルトIDが既知である機器です。デフォルトIDが変更できない場合もありますが、安易なパスワードを使用している場合、不正にアクセスされるリスクが高まるため注意が必要になります。 |
これらのセキュリティリスクレベル及びタグ情報については、「Karma」の検索結果の一覧及び詳細画面においても確認できるよう以下のようにラベル付けしております。(参照:図1・2)
・画面イメージ
図1:検索結果一覧画面
図2:詳細ページ画面
ゼロゼロワンは、今後「Karma」のユーザーからもタグ情報について要望を募り、継続的に機能の拡充を図ってまいります。